Το FBI διακόπτει τη λειτουργία του ransomware Blackcat, δημιουργεί εργαλείο αποκρυπτογράφησης

By

Marizas Dimitris

On

Δεκ 19, 2023

Το Υπουργείο Δικαιοσύνης ανακοίνωσε σήμερα ότι το FBI παραβίασε επιτυχώς τους διακο

μι

στές της επιχείρησης ransomware

ALPHV

για να παρακολουθήσει τις δραστηριότητές τους και να αποκτήσει κλειδιά αποκρυπτογράφησης.

Στις 7 Δεκεμβρίου, η BleepingComputer ανέφερε για πρώτη φορά ότι οι ιστότοποι ALPHV, γνωστός και ως BlackCat, σταμάτησαν ξαφνικά να λειτουργούν, συμπεριλαμβανομένων των τοποθεσιών διαπραγμάτευσης Tor και διαρροής δεδομένων της συμμορίας ransomware.

Ενώ ο διαχειριστής του ALPHV ισχυρίστηκε ότι ήταν ζήτημα φιλοξενίας, η BleepingComputer έμαθε ότι σχετιζόταν με επιχείρηση επιβολής του νόμου.

Σήμερα, το

Το Υπουργείο Δικαιοσύνης επιβεβαίωσε την αναφορά μας

αναφέροντας ότι το FBI διεξήγαγε μια επιχείρηση επιβολής του νόμου που τους επέτρεψε να αποκτήσουν πρόσβαση στην υποδομή του ALPHV.

Με αυτήν την πρόσβαση, το FBI παρακολούθησε σιωπηλά τη λειτουργία ransomware για μήνες ενώ συλλέγει κλειδιά αποκρυπτογράφησης. Αυτά τα κλειδιά αποκρυπτογράφησης επέτρεψαν στο FBI να βοηθήσει 500 θύματα να ανακτήσουν τα αρχεία τους δωρεάν, εξοικονομώντας περίπου 68 εκατομμύρια δολάρια σε αιτήματα λύτρων.

Επιπλέον, το FBI έχει κατασχέσει τον τομέα για τον ιστότοπο διαρροής δεδομένων της ALPHV, ο οποίος τώρα εμφανίζει ένα πανό που αναφέρει ότι κατασχέθηκε σε μια διεθνή επιχείρηση επιβολής του νόμου.

Το FBI λέει ότι κατέλαβε τον ιστότοπο αφού απέκτησε τα ζεύγη δημόσιων και ιδιωτικών κλειδιών για τις κρυφές υπηρεσίες Tor στις οποίες λειτουργούσε ο ιστότοπος, επιτρέποντάς τους να αναλάβουν τον έλεγχο των διευθύνσεων URL.

«Κατά τη διάρκεια αυτής της έρευνας, οι αρχές επιβολής του νόμου απέκτησαν ορατότητα στο δίκτυο του Blackcat Ransomware Group», αναφέρεται σε

ασφράγιστο ένταλμα έρευνας

.

“Ως αποτέλεσμα, το FBI εντόπισε και συνέλεξε 946 ζεύγη δημόσιων/ιδιωτικών κλειδιών για τοποθεσίες Tor που η Blackcat Ransomware Group χρησιμοποιούσε για να φιλοξενήσει ιστότοπους επικοινωνίας θυμάτων, ιστότοπους διαρροής και πίνακες συνεργατών όπως αυτοί που περιγράφονται παραπάνω.”

“Το FBI έχει αποθηκεύσει αυτά τα ζεύγη δημόσιων/ιδιωτικών κλειδιών στο Flash Drive.”

Το FBI διακόπτει τη λειτουργία του ransomware Blackcat, δημιουργεί εργαλείο αποκρυπτογράφησης, Το FBI διακόπτει τη λειτουργία του ransomware Blackcat, δημιουργεί εργαλείο αποκρυπτογράφησης, TechWar.gr — **Μήνυμα κατάσχεσης του FBI στον ιστότοπο διαρροής δεδομένων ALPHV**

*Πηγή: BleepingComputer.com*

Το

μήνυμα

κατάσχεσης αναφέρει ότι η επιχείρηση επιβολής του νόμου διεξήχθη από αστυνομικές και ερευνητικές υπηρεσίες από τις ΗΠΑ, την Europol, τη Δανία, τη Γερμανία, το Ηνωμένο Βασίλειο, τις Κάτω Χώρες, τη Γερμανία, την Αυστραλία, την Ισπανία και την Αυστρία.

“Το Ομοσπονδιακό Γραφείο Ερευνών κατέλαβε αυτόν τον ιστότοπο ως μέρος μιας συντονισμένης δράσης επιβολής του νόμου που ελήφθη κατά του ransomware ALPHV BlackCat”, αναφέρεται στο μήνυμα κατάσχεσης.

“Αυτή η ενέργεια ελήφθη σε συντονισμό με το Γραφείο Εισαγγελίας των Ηνωμένων Πολιτειών για τη Νότια Περιφέρεια της Φλόριντα και το Τμήμα Εγκλήματος Υπολογιστών και Πνευματικής Ιδιοκτησίας του Υπουργείου Δικαιοσύνης με ουσιαστική βοήθεια από την Europol και την Zentrale Kriminalinspektion Guttingen.”

Από τότε που διακόπηκαν οι διακομιστές της ALPHV, οι θυγατρικές έχασαν την εμπιστοσύνη τους στη λειτουργία, με το BleepingComputer να μαθαίνει ότι επικοινωνούσαν με τα θύματα απευθείας μέσω email αντί να χρησιμοποιούν τον ιστότοπο διαπραγμάτευσης Tor της συμμορίας.

Αυτό πιθανότατα οφειλόταν στους παράγοντες της απειλής που πίστευαν ότι η υποδομή ALPHV είχε παραβιαστεί από τις αρχές επιβολής του νόμου, θέτοντας τους σε κίνδυνο εάν τη χρησιμοποιούσαν.

Η λειτουργία

LockBit

ransomware έχει επίσης δει αυτή τη διακοπή ως ένα πρώιμο δώρο διακοπών, λέγοντας στις θυγατρικές ότι μπορούν να μεταβούν στη λειτουργία του για να συνεχίσουν τις διαπραγματεύσεις με τα θύματα.

Τρίτη παραβίαση από τις αρχές επιβολής του νόμου

Αυτή η λειτουργία ransomware έχει λειτουργήσει με πολλά ονόματα όλα αυτά τα χρόνια και έχει παραβιαστεί από τις αρχές επιβολής του νόμου κάθε φορά.

Ξεκίνησαν αρχικά ως DarkSide τον Αύγουστο του 2020 και στη συνέχεια έκλεισαν τον Μάιο του 2021 μετά από έντονη πίεση από τις επιχειρήσεις επιβολής του νόμου που προκλήθηκαν από την ευρέως δημοσιοποιημένη επίθεση της συμμορίας στον Colonial Pipeline.

Η λειτουργία ransomware αργότερα επέστρεψε ως BlackMatter στις 31 Ιουλίου, αλλά, για άλλη μια φορά, έκλεισε τον Νοέμβριο του 2021, αφού η Emsisoft εκμεταλλεύτηκε μια αδυναμία για να δημιουργήσει έναν αποκρυπτογραφητή και οι διακομιστές κατασχέθηκαν.

Η συμμορία επέστρεψε ξανά τον Νοέμβριο του 2021, αυτή τη φορά με το όνομα BlackCat/ALPHV. Έκτοτε, η συμμορία ransomware εξελίσσει συνεχώς τις τακτικές εκβιασμού της και ακολουθεί την ασυνήθιστη προσέγγιση της συνεργασίας με αγγλόφωνες θυγατρικές της.

Λόγω αυτής της επιχείρησης επιβολής του νόμου, πιθανότατα θα δούμε τη συμμορία ransomware να μετονομάζεται ξανά με διαφορετικό όνομα.

VIA:

bleepingcomputer.com